【希望之聲2022年2月22日訊】(希望之聲編譯組)WordPress是網際網路上最大的網站後端之一,擁有豐富的插件。WordPress UpDraftPlus是流行的計畫備份插件,目前有超過300多萬次安裝。
2月16日,WordPress在所有網站上推送了UpdraftPlus強制更新,以修復UpdraftPlus中的一個任意文件下載漏洞(CVE-2022-0633),該漏洞的評分為8.5。超過200萬個WordPress網站得到了強制更新。
由於UpdraftPlus無法正確驗證用戶是否具有訪問備份的隨機數標識符所需的許可權,這可能允許任何在網站上擁有帳戶的用戶(如訂閱者)下載最新的站點和資料庫備份。
該漏洞是由Jetpack Scan安全研究員Marc Montpas在一次內部審計中發現的。UpDraftPlus版本1.16.7-1.22.2(免費版)都含該漏洞。
(轉載請註明希望之聲)